精华内容
下载资源
问答
  • 扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786文│ 奇安信集团代码安全事业部 董国伟数字化时代,软件无处不在。软件已经成为支撑社会正常运转的最基本元素之一,软...

    08c5e4e8bd9fc68aa9ac19a0f0c1d415.png

    de0b9434b6e4ce599673f256e5703839.gif

    扫码订阅《中国信息安全》杂志

    权威刊物 重要平台 关键渠道

    邮发代号 2-786

    文│ 奇安信集团代码安全事业部 董国伟

    数字化时代,软件无处不在。软件已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。

    一、软件供应链安全现状

    近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重,其中,开源软件的安全问题尤其值得关注。

    (一) 供应链安全事件持续高发

    软件供应链安全事件愈演愈烈,下表归纳了最近一年的典型事件,但这只是冰山一角。不难看出,供应链攻击可谓无处不在,在软件生命周期的各个环节中、软件产品的各种元素上都可能发生。

    表 1 近一年主要软件供应链安全事件

    73ea82f4bfa8359db31f88aa54659dc6.png

    ba31d659f8692fe782c99e7554d3fb96.png

    (二)主要软件供应链攻击类型

    软件产品的生命周期包括设计、生产、交付、部署、使用及运营、停止等阶段。面向此生命周期所涉及的分工协作、联合攻关、平台环境等就是软件供应链的主要内容,软件供应链的主要攻击类型也与这些环节密切相关。

    生产阶段涉及软件产品的开发、集成、构建等,此阶段的供应链安全问题主要包括三类:第一类是针对软件生产要素的攻击,即攻击者利用安全漏洞、后门等修改编码环境、源码库等开发工具或软件自身,植入恶意代码,并经网络、存储介质等进行传播,用户下载使用后,引入风险;第二类是开发者对所使用的第三方软件,特别是开源组件未经安全测试而直接使用,不了解其中的安全漏洞和法律风险;第三类是软件产品构建时,在编译和链接、产品容器化、打包等过程中,使用的工具或产品对象本身被污染或恶意修改而带来的安全风险,如 Codecov事件。

    交付和运营阶段涉及软件产品的发布、传输、下载、安装、补丁升级等,互联网或移动传输介质是其重要手段。在发布和下载方面,发布渠道或商城如对软件安全性缺乏分析和测试则会存在潜在风险;攻击者可通过捆绑攻击,在常用软件中捆绑额外功能,如果这些功能涉及用户隐私、信息的收集,则后患无穷;针对发布站点的攻击,如域名劫持(DNS)、内容分发系统(CDN)缓存节点篡改等,会使用户下载存在恶意代码或后门的软件。在软件更新和升级方面,攻击者可能通过中间人攻击替换升级软件或补丁包,或诱导用户从非官方发布渠道下载,以达到攻击的目的,也可能使用捆绑攻击在升级包中增加额外软件功能。

    (三)开源安全问题应特别关注

    Gartner 报告曾指出,在当前 DevOps 之类的开发模式下,应用程序中大部分代码是被“组装”而不是“开发”出来的。据其统计,超过 95% 的组织在业务关键 IT 系统中都主动或被动地使用了重要的开源软件(OSS)资产;Forrester Research 研究也表明,应用软件 80%~90% 的代码来自开源组件。因此,开源组件的安全性直接关系到信息系统基础设施的安全,但从前表中可以看出,开源安全性不容乐观,它已成为软件供应链安全问题增长的重要因素。

    今年 6 月,奇安信代码安全实验室发布了《2021中国软件供应链安全分析报告》。报告通过对 2188个企业软件项目的检测结果进行分析,得出了开源使用的安全状况:所有软件项目均使用了开源软件,平均每个项目使用开源软件数量达 135 个,使用最多的开源软件出现在 581 个项目中,渗透率达到了26.6%;平均每个软件项目存在 52.5 个开源软件漏洞,存在开源软件漏洞、高危开源软件漏洞和超危开源软件漏洞的项目分别为 1695 个、1559 个、1319个,占比分别为 77.5%、71.3%、60.3%;影响面最大的开源软件漏洞 (Spring FrameWork 漏洞 ) 出现在973 个项目中,渗透率高达 44.5%,一旦该漏洞被攻击者利用,将影响近半数的企业软件,波及的企业数量更加不计其数。

    此外,根据奇安信代码安全实验室另一项针对联网设备固件的安全检测表明,摄像头、路由器等智能联网设备的开源软件安全问题也很突出:许多多年之前的老旧漏洞未进行及时修复,86.4% 的设备的最新固件存在至少一个老旧开源软件漏洞,漏洞最多的固件存在 74 个老旧开源软件漏洞,甚至2014 年曝出的“心脏滴血”漏洞,仍然存在于 5.3%的最新设备中。

    (四)供应链攻击频发原因分析

    生产模式的变化。用户对软件功能、应用实效等方面的需求越来越高,这就要求开发者在短时间内实现相应功能,还要持续不断地进行迭代更新。软件系统往往由自主研发的、开源获取的、外包开发的、商业购买的等多种来源的部件组合而成,为了响应快速开发的需求,软件供应链中第三方来源的如开源、外包、商业等成分软件的占比会增加,从而引入更多“不可控”成分,增加了软件安全评估的难度,也提高了软件供应链风险。

    软件自身的变化。软件系统规模越来越大,程序逻辑越来越复杂,因此对软件的理解和分析也越来越难,这也造成了对软件把关和分析技术的门槛越来越高。另外,开源、库文件等提高了代码复用性,但在算法、结构、逻辑、特性等复用的同时,也带来了缺陷、漏洞等风险的复制,极大增加了供应链的攻击面,会造成某一点问题的大面积爆发,利用Struts2 等开源漏洞攻击的影响面之广就是个很好的例子。

    环境渠道的多样。软件产品开发、构建、部署、交付等环节的生产线环境和发布渠道越来越多样化、多元化,IDE、代码管理系统、Bug 管理系统、构建工具、CI/CD 工具、云平台部署、交付方式等的选择越来越多,这些辅助工具或渠道的不安全因素会作为“基因”传导至软件产品中,也会增加软件供应链的攻击面。

    二、美国和我国的相关举措分析

    (一) 美国加快供应链风险管理步伐

    早在 2013 年,美国就发布了第一部 ICT 供应链安全方面的标准《供应商关系的信息安全(ISO/IEC 27036)》,针对客户和供应商之间的购买与供应关系,规定了信息安全管理框架;又于 2015 年发布了《联邦信息系统和组织供应链风险管理方法(NIST SP800-161)》,用于指导美国联邦政府机构管理 ICT 供应链的安全风险,包括识别、评估和缓解 ICT 供应链风险等。2020 年底爆发的“太阳风”(SolarWinds)供应链攻击事件,使得美国政府对供应链安全的重视进一步提升。下表列举了 2021 年以来其在供应链安全风险管理方面的一些行动,可以看出,步伐明显加快。

    表 2 美国供应链安全风险管理举措

    afacdbf200f377c70f4b7bc156fa6a8a.png

    cbd89f7a6a75dfcb4cd90af59ae30987.png

    (二) 我国相关法规和标准日趋完善

    近年来,我国在网络安全领域的重要法规频频出台,对供应链安全的要求也多有涉及。《网络安全法》规定了网络产品和服务提供者的职责,包括严禁的行为、及时采取补救措施、告知报告义务、维护的延续性等;《网络安全法》《网络安全审查办法》和《关键信息基础设施安全保护条例》针对关键信息基础设施的供应链安全提出了要求,包括对可能影响国家安全的设施进行安全审查、网络产品和服务提供者应配合审查并承诺避免危及供应链安全的行为、安全审查时考虑供应链风险方面的因素、优先采购安全可信的网络产品和服务、与提供者签署协议等。

    我国在供应链安全方面的标准体系也日趋完善。《信息安全技术 信息技术产品供应方行为安全准则》(GB/T 32921-2016)从供应商角度入手,规定了信息技术产品供应方的行为安全准则;《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)规定了信息通信技术(ICT)供应链的安全风险管理过程和控制措施,适用于 ICT 供方和需方、第三方测评机构等;国标《信息安全技术 信息技术产品供应链安全要求》针对关键信息基础设施,规定了信息技术产品供应方和需求方应满足的供应链安全要求,该标准已完成征求意见,即将发布;中国信息安全测评中心牵头的国标《信息安全技术 软件供应链安全要求》也在编制中,将对软件供应链所涉及的相关方应满足的安全要求进行规范。此外,国内有些标准虽并非专门针对供应链安全,但也包含一些具体要求:《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)在通用要求里,给出了产品采购与使用、外包软件开发、服务供应商选择等方面的要求;《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)对云服务商的供应链从采购过程、外部服务提供商、开发商、防篡改、组件真实性、不被支持的系统组件、供应链保护等方面提出了安全要求。

    三、对策与建议

    虽然我国已出台了一系列针对软件供应链安全的法规和标准,但包括风险的发现、分析、处置、防护等能力在内的软件供应链安全管理水平仍有待继续提升。建议从三个方面开展相关工作。

    (一) 政策层面

    建议国家和行业监管部门继续完善和制定软件供应链安全相关的政策、标准和实施指南,建立长效工作机制;建立国家级/行业级软件供应链安全风险分析平台,具备系统化、规模化的软件源代码缺陷和后门分析、软件漏洞分析、开源软件成分及风险分析等能力,及时发现和处置软件供应链安全风险。

    (二) 用户层面

    建议政企用户参照监管要求及成功案例,明确本单位软件供应链安全管理的目标、工作流程、检查内容、责任部门等;在采购商用现货软件时,应充分评估供应商的安全能力,与其签署安全责任协议,要求提供所使用的第三方组件/开源组件清单,并对出现的安全问题提供必要的技术支持;在自行或委托第三方定制开发软件系统时,应遵循软件安全开发生命周期管理流程,对软件源代码进行安全缺陷检测和修复,并重点管控开源软件的使用,建立开源软件资产台账,持续监测和消减所使用开源软件的安全风险。建议个人用户及时升级软件或打补丁,开启软件安全保护功能,不使用来源不明的应用,做好账户密码设置及管理。

    (三) 厂商层面

    建议软件产品厂商提高安全责任意识,严控产品安全质量;建立清晰的软件供应链安全策略,明确相关的管理目标、工作流程、检查内容、责任部门等;严控上游,尤其重点管控开源软件的使用,建立开源软件资产台账,采用开源安全治理工具,持续监测和消减其安全风险;严控自主开发代码的质量,采用软件源代码安全分析工具,持续检测和修复软件源代码中的安全缺陷和漏洞;建立完善的产品漏洞响应机制,包括产品漏洞信息的收集、漏洞报告渠道的建立和维护、漏洞补丁的开发和发布、客户端漏洞应急响应和修复支持等。

    (本文刊登于《中国信息安全》杂志2021年第10期)

    5d6ff68b24e7ea8e06834edfdfeec539.gif

    感恩有你

    7474640464a6677e8645c6d672d4d70e.png

    57cf009abd04784d6a21bed9ab991d37.png

    感恩有你 互动有礼

    1、扫描下图奇安信集团微信二维码,并在奇安信集团微信号评论留言【时间排序】第5、15、25、35、45、55的小伙伴可以获得奇安信冬奥礼盒一份;

    2、评论留言【点赞数】前20的小伙伴,还能够获得第10期《网安26号院》纸质杂志一份;

    (截止时间:11月26日18点)

    不止在感恩节感谢你!

    3734719dfd37c33a42a8d422b48fa73f.png

    699526cf4020dd9c6fdb5ccf1aa82432.gif


    推荐阅读

    在线阅读版:《2021中国软件供应链安全分析报告》全文

    速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用

    11个恶意python包被指窃取 Discord 令牌、安装shell

    对话奇安信代码安全丨十年砥砺前行  迎来软件供应链安全的风口

    “木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用

    GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

    流行的 NPM 包依赖关系中存在远程代码执行缺陷

    速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

    Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

    微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

    速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

    SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

    找到软件供应链的薄弱链条

    GitHub谈软件供应链安全及其重要性

    揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司

    开源软件漏洞安全风险分析

    开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

    集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

    限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

    热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码

    GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥

    因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露

    彪马PUMA源代码被盗,称客户数据不受影响

    题图:Pixabay License

    转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    1846234c65d34f7be53b841eae2770f4.png

    9af4ad8c1cc4b97ffa822be70e367e54.png

    奇安信代码卫士 (codesafe)

    国内首个专注于软件开发安全的产品线。

       f936bb56f0a0067dd8859a42eff1814c.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

    展开全文
  • 开源软件漏洞安全风险分析

    千次阅读 2021-02-20 18:05:27
    聚焦源代码安全,网罗国内外最新资讯!作者:冯兆文、刘振慧 / 西北工业大学、中国航空工业发展研究中心一、引言2020年2月,国家信息安全漏洞共享平台(CNVD ) 发布了关于Apache...

     聚焦源代码安全,网罗国内外最新资讯!

    作者:冯兆文、刘振慧 / 西北工业大学、中国航空工业发展研究中心

    一、引言

    2020年2月,国家信息安全漏洞共享平台(CNVD ) 发布了关于Apache Tomcat 存在文件包含漏洞的公告,该漏洞可以造成Tomcat上所有webapp目录下的重要配置文件或源代码等敏感数据的泄露,若同时存在文件上传功能,则可以进一步实现远程代码执行(RCE),直接控制服务器。

    Tomcat是Apache软件基金会下的一个重要的开源软件,在全球范围内被广泛使用,根据FOFA系统最新的测绘数据显示全球范围内有将近300万个Tomcat服务对外开放,根据腾讯T-Sec系统提供的数据显示,国内受影响的采用AJP协议的IP数量约是4万个。近年来,随着软件开源化趋势成为主流,开源软件已经成为软件供应链的重要环节,是软件生态不可或缺的组成部分。然而,一旦具有大规模用户基础的开源软件存在安全漏洞,势必会影响整个软件行业的安全。

    二、开源软件认识误区

    (一)开源软件等于免费软件

    开源软件指源代码可以被公众使用的软件,源代码公开是开源软件的主要特点之一。虽然大部分的开源软件可以免费获得,但是开源软件并不全是免费软件,仍有大量的开源软件对用户是收费的。

    开源软件要求软件发行时附带源代码,但并不意味着它就一定是免费的;同样免费软件也只是软件免费提供给用户使用,但并不一定是开源的。

    (二)开源软件可以随便使用

    每一个开源软件都需要包含开源许可证去规定开源软件的使用范围和权利义务,开源软件并非完全没有限制可以随意使用,其最基本的限制就是开源软件强制任何使用和修改该软件的人承认发起人的著作权和所有参与人的贡献。

    开源软件的许可证比较繁多而且复杂,经常遇到的开源许可证主要有GPL和BSD两种。如果不恰当地使用开源软件,未能充分理解和研究许可证规定的权利和义务,往往会埋下知识产权的风险隐患,甚至会被强制要求公开自家产品的私有代码。

    (三)开源软件比闭源软件安全

    开源不能作为判定软件产品安全与否的指标,开源并不意味着一定安全。事实上,近年来开源软件的安全性事件频发,也打破了人们传统观念中的“开源等于安全”的认知。根据Snyk公司发布的《2019 年开源安全现状调查报告》显示,“过去两年内应用程序的漏洞数量增长了88%,仅2018年包管理器(NPM )的漏洞数量就增长了47%”。

    开源软件具有开放、共同参与、自由传播等特性,一方面由于开发者自身安全意识和技术水平不足容易产生软件漏洞,另一方面也无法避免恶意人员向开源软件注入木马程序进行软件供应链攻击等安全风险引入行为。

    三、开源软件使用现状

    (一)绕不开、躲不掉的软件开源趋势

    当前,软件代码全部自行开发的公司几乎没有,大量企业通过使用免费的开源软件创建商用软件产品。根据安全与能力管理开源平台White Source发布的《开源漏洞管理现状》,只有极少数开发人员由于公司的政策要求而没有使用开源软件,96.8%的开发人员依赖于开源软件。用户往往以为自己购买的是商业软件,但实际上很多商业软件是基于开源做二次开发后以闭源形式提供给用户的。

    另据Gartner的调查显示,99%的组织在其信息系统中使用了开源软件,如图1所示。Sonatype公司对3000家企业的开源软件使用情况展开过调查,结果表明每年每家企业平均下载5000多个开源软件。随着开源技术快速形成生态,企业用户引入开源软件已成大势所趋,绕不开、躲不掉。

    图1 开源组件的使用频率

    (二)难以分辨商业产品中的开源成分

    从软件产品的使用者角度来看,企业购买的很多商业软件往往是开源软件的商业版或者发行版。如果用户没有明确地提出要求,商业软件供应商一般不会说明其产品中是否涉及开源组件,甚至对用户宣称是完全自主研发,导致用户的信息系统中被动地引入了开源软件。例如,号称自主开发的某某浏览器,经过专业测试后却发现其内核是开源软件Chrome。

    从软件产品供应商的角度来看,当前的软件开发模式中包管理器替程序员做了很多他并没有意识到的决定,使得商业软件中引入开源软件的数量难以做到完全准确的统计。更有甚者,部分企业在软件开发过程中,对开源软件的使用比较随意,管理者常常不清楚自己的团队在开发过程中使用了哪些开源软件,就连程序员自己也无法完整地列出开源软件使用清单。等到商业软件流转到用户手中后,系统的运维人员更是无法完全知晓正在运行的软件产品中是否包含了开源软件,包含了哪些开源软件,这些开源软件是否存在安全漏洞等,这就无形中给企业的信息系统带去了安全风险。

    (三)谁该站岀来为开源软件安全负责

    随着大型软件开发过程中,开源组件的占比越来越高,加之软件开发人员往往只关注自己开发的那部分代码的安全性,忽视了采用的开源组件的安全质量,最终导致成型软件产品的系统安全问题越来越多。根据Snyk公司2019年的调查报告,81 %的用户认为开发者应负责开源软件的安全性,如图2所示。

    图2 开发者该为开源软件安全负责

    大部分开源软件的使用者认为软件代码经过了很多机构和人员的测试和审查。然而,现实情况是并没有多少人对开源软件的代码安全进行测试,“心脏滴血”漏洞就是最好的例证。软件供应商对外售卖的商业软件中采用了开源软件,但安全责任并未从开源代码提供者转移到软件供应商,导致最终还是由用户承担了软件漏洞的风险。

    四、开源软件漏洞安全分析

    由于开源软件使用与获取的便利性,加之部分软件开发人员的安全意识淡薄,可能导致忽略开源软件带来的风险。总体来看,开源软件存在的安全问题比较严重,安全漏洞是主要的问题,软件供应链攻击呈现上升趋势,同时缺少系统的安全审查机制。

    (一)开源项目维护者的安全意识和技术能力参差不齐

    Snyk公司通过扫描数以百万计的Github代码库和程序包和对超过500个开源项目的维护者进行调查发现:只有8% 的开源项目维护者自认为有较高的信息安全技术,接近半数的开源项目维护者从来不审计代码,只有11%的维护者能做到每季度审核代码。另据Linux基金会发布的《开源软件供应链安全报告》显示,大量开发人员在开发软件时并未遵守应用程序安全最佳实践。开源项目维护者对代码安全质量重视不够和技术能力水平不足,是当前造成开源软件安全漏洞的主要原因。

    奇安信代码安全实验室发起“开源项目检测计划”,通过对3000余款使用比较广泛的开源项目进行检测,发现所有检测项目的总体平均缺陷密度为14.22/ KLOC,高危缺陷密度为0.72/KLOC。路径遍历、空指针相关、密码管理、跨站脚本XSS、注入类缺陷、XML外部实体注入、缓冲区溢出、资源管理、HTTP响应截断、日志伪造等是开源软件主要的安全风险。

    2019年,Unit42安全团队分析了 24000多个公开的GitHub开源项目,共识别出2328个硬编码密码,2464个API密钥和1998个OAuth令牌。对于关系社会安全稳定的企业单位,如银行等金融机构,信息系统中如果采用了上述的开源组件将会对社会经济安全造成恶劣的影响。图3中的这段代码[5]来自一个开源系统,它硬编码了用于支付的私钥,通过反编译可以直接查看相关配置数据。

    在密钥管理中最常见的错误,就是将密钥硬编码在代码里。一旦攻击者获得密钥,再通过审计分析支付系统的加密算法就可以破译所有的加密数据。

    functiiontoSubmit( $ pay m ent) I
    
    
    Smerld- St hi s->getConf( $ pay montCM_Ord c rldl/memb or .id'); 账户
    
    
    SpKey = S th is->getConKSp ay me nt[' M _Orderl di.' PmatcKcyR}:
    
    
    Skey = SpKey=r? 'afsvq2mqwc7j0ivukqexrzdQjqBhr:$p Key;
    
    
    Sret.uri = $this-^>callhackUrl:
    
    
    Sserver.url - $this^>serverCallbackUrl;
    

    图3 用于支付的密钥被硬编码在源代码中

    (二)越来越多的黑客组织开始盯上开源软件

    软件生产过程中,代码复用程度越来越高,各种开发包、核心库的应用越来越广泛。很多黑客组织也意识到了这一点,逐渐把目光放在了开源软件上,利用开源代码植入后门。这些代码的复用度越高,其中的后门影响范围就越广,从而实现对软件供应链上游的攻击。

    2019年8月,Webmin被爆存在高风险远程命令执行漏洞,根据Webmin开发人员的说法,该漏洞不是编码错误的结果,而是“恶意代码注入受损的构建基础架构中”导致的。Webmin是一个用于管理Linux和UNIX系统的基于Web的开源软件,互联网上大约有13万台机器使用Webmin。根据Shodan搜索引擎收集到的统计数据显示,有近10万台服务器曾运行过存在“后门代码”版本的Webmin软件,对整个互联网安全造成了巨大的影响。

    (三)开源软件缺少系统的代码安全审查机制

    美国最先认识到开源软件安全问题的重要性,早在2006年美国国土安全部就开展过“开源软件代码测试计划”,对大量开源软件进行安全隐患的筛选和加固。

    根据Snyk公司的报告显示,37%的开源开发者在持续集成(CI )期间没有实施任何类型的安全测试,54 %的开发者没有对Docker镜像进行任何的安全测试。

    开源代码中不断发现新的安全漏洞,而很多项目没有查找并修复漏洞的响应机制。开源项目的安全记录方式也没有明确的标准可以遵循,GitHub上排名前40 万的公共代码库中,仅2.4%的项目有安全文档。

    开源软件在实际的流通过程中,各个环节间缺乏系统的安全审查机制,部分企业内部也缺少必要的安全检测要求和规范,导致一旦底层开源组件出现安全漏洞,这些问题组件将传染给哪些商业产品、影响哪些业务领域,没人能给出一个准确的答案。

    五、风险控制措施

    (一)国家层面组织开展开源软件源代码检测工程

    随着开源趋势的不可逆以及开源软件在商业软件中占的比重越来越高,开源软件俨然已经成为软件开发的关键基础设施,因此开源软件的安全问题应该上升到国家安全的角度来对待。

    建议国家相关部门组织有业务基础的科研机构开展开源软件源代码检测工程,并将检测的成果以一种安全可控的方式向商业软件制造商及关键岗位的企业共享,尽可能降低开源软件漏洞对社会各行各业的影响。

    (二)企业层面建设开源软件安全治理体系

    企业应该建立开源软件安全治理体系,明确开源软件使用的安全准入条件,从软件开发阶段就建立开源软件使用的统一策略,实现开源软件引入和使用的标准化、规范化和合规化。

    对于明确需要引入的开源软件,在加强版本控制的基础上,一方面开展安全风险评估检测;另一方面持续跟踪相关的漏洞情报,时刻提防软件供应链攻击。

    (三)用户侧建立软件安全渗透测试机制

    从已经发生的软件供应链攻击案例来看,非常有必要开展软件上线前的渗透检测。通过采用良性的攻防渗透的方法、思路和手段,及时发现软件系统中存在的安全漏洞和隐患,降低新软件上线给系统带来的风险。

    企业在开展软件采购时,应向供应商明确要求提供软件中包含的开源组件,“用了什么,什么版本,软件来源”,并在验收时进行细致核查。

    (四)检测机构加强对安全产品中开源组件的检测

    信息安全产品是重要信息系统安全防护的重要组成部分,其自身的安全性将影响重要信息系统的安全。检测机构应要求软件供应商准确提供产品中包含的开源组件等信息,并针对开源组件开展专门的安全检测。这样一旦某个开源软件被爆出重大的安全漏洞,产品检测机构可以及时迅速地发布安全预警,并要求相关产品厂商尽快开展修复,甚至对修补不力的产品予以禁用处置。

    六、结语

    几乎每个商业软件都使用开源软件节省开发时间、降低公司成本、避免重复造车轮,但软件公司对这些代码的品质和来源却未必都给予了足够的关注和重视。

    开源软件已经成为网络空间的重要基础设施,应积极开展开源软件源代码检测工程,推动建设开源软件安全治理体系,形成软件安全渗透测试的长效机制。

    (注:本文原载于《保密科学技术》杂志2020年2月刊)

    推荐阅读

    2020年十大开源漏洞回顾

    GitHub 发布 Octoverse 开源软件安全趋势报告(超详)

    RiskSense Spotlight:全球知名开源软件漏洞分析报告

    BCS 2019议题分享|开源软件安全实践与思考

    题图:Pixabay License

    转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    奇安信代码卫士 (codesafe)

    国内首个专注于软件开发安全的

    产品线。

        觉得不错,就点个 “在看” 或 "赞” 吧~

    展开全文
  • 但是大部分人在第三方软件下载软件,会带来一群垃圾软件进入你的电脑。要么就是浏览器主页被篡改了……这些流氓软件你一定有遇到过,他们一般有以下这2个套路: 1.诱导安装——用眼花缭乱的页面扰乱你的心智,稍...

    随着移动互联网的普及,很多人家中的电脑应该很长时间没有开机了吧?无论是Android系统,iOS系统还是计算机的Windows系统。不过这只是我们使用的一个平台,如果我们要实现更多功能,则需要安装一些第三方软件。
    但是大部分人在第三方软件上下载软件,会带来一群垃圾软件进入你的电脑。要么就是浏览器主页被篡改了……这些流氓软件你一定有遇到过,他们一般有以下这2个套路:
    在这里插入图片描述
    1.诱导安装——用眼花缭乱的页面扰乱你的心智,稍不留意就会下载到一个长得很像的山寨软件。
    2.捆绑安装-将用户要下载的软件与其他垃圾软件捆绑在一起,将其添加到安装包中,并在下载时强制用户进入用户的计算机。
    软件捆绑木马、病毒是我们最害怕遇到的事情了,那么我们怎么对付这些问题呢?找个可靠的软件下载站,就是我们下载软件之前必做的工作之一了,今天小编就为大家推荐几个不错的软件下载网站,仅供参考。
    1.华军软件园
    华军软件园成立于1997年,是一个大型的专业网站,在中国起步较早,并享有良好的声誉。 它提供了国内外最新的绿色免费软件下载中心,包括免费的计算机/移动软件下载,例如计算机软件,IOS应用程序和Android应用程序。
    在这里插入图片描述
    2、非凡软件站
    非凡软件站,前身名为霏凡软件站。该网站成立于2002年,致力于提供各种软件下载和其他资源服务,以丰富网民的互联网生活。它不仅具有用于下载手机软件的独立站点,而且还创建了其“绿色软件主页”,其中提供了绿色软件资源。
    在这里插入图片描述
    3、应用汇
    “应用汇”是基于Android系统的本地化应用程序商店,可以通过多种渠道使用,例如移动客户端,Web端,Wap端和Pad版本。在Android手机上安装“应用汇”后,无论Wifi,3G或2G情况如何,您都可以通过“ 应用汇”查找并下载所需的软件或游戏。
    在这里插入图片描述
    4、360手机助手
    360手机助手,是360推出的手机助手,拥有大量的软件和游戏可轻松下载,可以帮助您使用最节省数据、最快和安全的方式来获取网络资源。所有信息资源要经过360安全检测中心的审核认证,绿色无毒、安全无忧是大部分人的选择。
    在这里插入图片描述
    5、Zbhcgm.cn安卓软件下载
    zbhcgm安卓软件下载网站软件种类比较齐全,力求打造清爽干净的安卓软件下载站。每个分类的推荐软件都更新很快,良心绿化,安装卸载,彻底不留痕迹。
    在这里插入图片描述
    6、安智市场
    目前,安智市场是中国知名的Android手机应用程序免费下载平台。其人性化的设计带来了视觉和使用的双重享受,摒弃了所有复杂性,拥有多种主题,适用于不同的使用场景,使您可以随意享受下载的乐趣。为了应对恶意软件,安智市场采用了系统和手动双审核来确保用户安全和放心。
    在这里插入图片描述
    今天的分享就到这啦,大家最喜欢哪个网站呢?

    展开全文
  • 正规软件可以选择去官网下载,或者下载一个应用中心下载安装,这个过程出问题的几率还是比较小的,也不排除很多去错了官网 但也有很多不太正规的软件呢,百度搜一大把,小白点进去看到了高速下载就兴冲冲的下载...

    前言

    用电脑免不了要安装各种软件,但去哪下载却是个值得思虑的问题

    正规软件可以选择去官网下载,或者下载一个应用中心来下载安装,这个过程出问题的几率还是比较小的,也不排除很多去错了官网

    但也有很多不太正规的软件呢,百度搜一大把,小白点进去看到了高速下载就兴冲冲的下载安装了,然后噩梦便开始了……

    那些看起来很善意的按钮如“安装成功”、“安全安装”一旦点了便是装一个送一窝的后果……

    不过这还是比较讲武德的,只要反着来就没太大问题,不讲武德的直接连选都不给选,只要轻轻一点流氓全家桶、天龙八部、兄弟砍我全给安排上
    在这里插入图片描述

    如何预防

    当然找一个稳定纯净的资源下载网站是一个很好的选择,这里就不吹小编自己的博客了……路还长

    如果无法避免需要下载一些不确定是否纯净的软件,一个同样不讲武德的办法是安装前创建一个系统还原点,有问题就退回去

    其实操作很简单,还原点也不太占空间,今天推荐一款叫Total Uninstall的卸载工具

    Total Uninstall

    链接:https://u9baoku.xyz/3370.html

    这里用到它的安装监控功能

    在安装一些不靠谱的软件时,将安装程序拖到Total Uninstall的监控界面,便会启动安装监视功能,同时会创建一个系统还原点,这个还原点可以创建多个,也可以替换旧的
    在这里插入图片描述

    这样程序安装完毕后除了会有一个安装前的还原点,还有程序在安装过程中的记录信息,之后要卸载被监控的程序,无需通过程序自带的卸载器,可以对程序进行完全卸载
    在这里插入图片描述

    当然这样能直接卸载干净是最好的,但流氓软件之所以流氓便是不会让你卸载的太轻松,遇到这种情况直接还原便好,当然也可以跟他们斗智斗勇一番,这个下期再写写

    还原操作非常简单,点击“工具“->>”系统还原”然后选择还原点就可以自动重启并还原了。
    在这里插入图片描述

    卸载功能也不赖

    这个软件的卸载功能其实也很厉害,除了使用安装监控的完全卸载外,还可以扫描出很多系统自带卸载工具检测不出来的隐藏组件或卸载残留

    像下图这样,其实小编已经把电脑里的Autodesk相关软件都卸载了,还是可以扫描出不少,不光可以扫描出文件还有很多注册表项,

    这些残留文件很大可能会导致后续安装同类软件失败

    在Total Uninstall中只需要选中,等待分析完毕后点界面上方的卸载按钮便可以将扫描出的文件全部删除

    需要注意的是:一定要以管理员身份运行软件,不然有些C盘里的文件会因为权限不足无法删除

    在这里插入图片描述

    关闭自动创建还原点

    每次卸载程序都会给你创建一个还原点,可能有时候并不需要,可以通过点击“工具“->>“选项”->>“卸载已分析的程序”->>“高级”,消勾选”卸载前创建系统还原点"便可以了

    最好把那个备份卸载的程序也关了,感觉也没啥用
    在这里插入图片描述

    展开全文
  • 我不知道是否有人曾考虑过在同一台计算机上安装多个防病毒软件,保护计算机系统免受...从以前的XP升级到Win7到当前的Win10操作系统,系统安全性越来越好。以前使用XP时,它是否被意外中毒了?通过在当前win10系统中...
  • YY安全中心

    千次阅读 2021-06-10 04:04:17
    YY安全中心APP是YY用户常用的一款...YY安全中心更新内容v3.8.8更新内容:修复动态验证码无效的问题v3.8.2更新v3.5.0更新更稳定、更优质,邀您一起体验。yy安全中心app是一款YY语音平台的账号安全管理工具,他和QQ安...
  • windows10系统 怎么启用windows安全中心服务器?近来一位使用win10系统的用户反馈自己在任务栏...win10系列软件最新版本下载Win10系统正式版3642.58MB下载微软Win10升级助手18.74MB下载下面系统城小编给大家分享下两...
  • 火绒安全软件是目前国内极少数专注安全防护软件领域集‘杀、防、管、控’于一体的良心软件,具有资源占用小、高查杀、低误杀、多重防护、弹窗广告拦截器、系统加固、轻巧纯净以及不弹窗、不捆绑、不劫持浏览器等优点...
  • 中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准,可以从事信息安全服务资质认证的机构(《认证机构批准CNCA-R-2007-138),并获得了中国合格评定国家认可委会的认可(证书编号:No. ...
  • 这个抬手唤醒的意思就是手机拿起来就能自动唤醒屏幕,这样在很多时候非常的方便比如看时间等,抬手唤醒app就是为很多没有自带这项功能的...开启允许被系统启动小米【MIUI】* 安全中心 - 省电优化,将 抬手唤醒 的...
  • 5月26日,2021云原生产业大会在京正式举行,悬镜安全华北区技术运营中心负责人霍光受邀出席,并针对“开源软件的现状与治理”主题进行了分享。该分享重点讲述了企业现阶段所面临的开源软件的风险以及如何对开源软件...
  • 鸿蒙系统公测版下载已经进行了商标注册,专为华为手机的用户打造,让安卓手机用户拥有一个流畅的、美观的、简洁并好用的安卓新系统,喜欢的用户快来下载吧。鸿蒙系统特色昨天上午华为在北京面向应用开发者正式公开了...
  • 最近有用户反映:电脑系统升级之后,系统弹窗提示“win10无法启动安全中心服务”。怎么会出现这种情况呢?其实这个问题是安全服务中心被禁用导致的。解决无法启动windows安全中心服务这个问题,只需要重新打开该服务...
  • vivo帐号app是一款适用于vivo手机的系统软件,无桌面图标,无法直接打开,用户安装后可以开启vivo帐号保护功能,在非信任设备登录帐号需要验证身份信息,保证您的帐号安全,有需要的朋友欢迎下载体验。vivo帐号app...
  • Windows是我们常用的一款操作系统,现在微软已将...估计很多小伙伴有这样的疑问,下载了安全杀毒软件,Windows安全中心有时就会和这些杀毒软件打架,影响电脑运行。今天,我就教大家关闭Windows安全中心的方法方法一...
  • windows安全中心接口

    2021-04-25 18:05:42
    健康设置包括防火墙的打开和关闭、防病毒的(打开/关闭/过期)设置、反间谍软件(打开/关闭/过期)的设置、Windows 更新(自动/手动下载并安装更新)、用户帐户控制(打开/关闭)以及 Internet 设置(推荐/不推荐)。...
  • 数据中心作为必不可少的配套设施之一,一直以高密度、高能耗、庞大的线缆数量、极高的可靠安全性著称。随着业务量的突飞猛进,设施设备批量增加、更新换代已是家常便饭。运维工程师们如何在确保数据中心安全可靠运行...
  • 软件功能 ... 软件下载工具,替代360、腾讯软件管家。  基于Motrix开源下载工具+Electron-vue+Nodejs开发。  安全无毒,绿色无捆绑。  软件支持网页版本。  支持上传下载功能。 网盘下载地址: ...
  • 最近有不少用户反映:电脑系统升级之后,系统弹窗提示“win10无法启动安全中心服务”。怎么会出现这种情况呢?其实这个问题是安全服务中心被禁用导致的。解决无法启动windows安全中心服务这个问题,只需要重新打开该...
  • Java(TM) 8安全下载

    2021-03-09 02:04:47
    Java(TM) 8软件简介Java是一种可以撰写跨平台应用程序的面向对象的程序设计语言,Java技术具有卓越的通用性、高效性、平台移植性和安全性,广泛应用于PC、数据中心、游戏控制台、科学超级计算机、移动电话和互联网,...
  • 【动漫星空导读】今天小编给大家讲一下如何用火绒自定义规则禁止流氓软件祸害自己的电脑,本人也是小白,就是比较爱折腾,有错的地方希望大家多多指教!首先介绍下火绒的规则,目前火绒系统防护规则支持的通配符如下...
  • 科技毒瘤君宠粉计划收到公众号后台留言,有小伙伴需要免费且好用的软件!推荐好用的免费的常用的小软件。(拒绝流氓软件、广告软件、插件弹窗及后台无赖),宠粉的我赶紧准备了一系列的软件,放在了网站...
  • 在实际工作中,因不当操作或缺乏相关的安全知识,会造成的各种安全事故。那么应该如何避免事故的发生,从而做好安全工作呢?今天我们的【安全知识培训一】主要是分享机房工作中常见的工作事故起因,以...
  • U-Mail for linux 64-bit 邮件服务器软件是网络工具频道下深受用户喜爱的软件,太平洋下载中心提供U-Mail for linux 64-bit 邮件服务器软件官方下载。 U-Mail是安全高速的全功能电子邮件服务器系统,融合强大的功能...
  • PART ONEAnchore 软件供应链安全报告解读Anchore[1]是一家关注软件供应链安全安全厂商,其旗下有好几款关于安全的开源项目,比如 Syft[2]、Grype[3]。其在...
  • 应用宝HD,是腾讯应用中心专为Android平板电脑用户倾力打造的应用获取平台,我们致力于为用户提供丰富安全的应用资源和覆盖应用整个生命周期的一站式应用管理体验。目前应用宝HD支持操作系统Android3.0以上,屏幕...
  • 相信做过矿工的同学们多多少少会遇到这些问题: 玛德, 1.挖矿软件安装好后怎么时不时的报警告,要我清除挖矿软件? 2.电脑pao'yi'd
  • 积木编程软件是可以在线可以学习编程的软件,平台给用户提供了大量的编程学习教程,软件还支持在线编程,学习内容丰富,让用户学习起来不会枯燥乏味,就算你是零基础的小白,也可以体验到编程的乐趣。积木编程官方...
  • 服务器安全狗linux版是一款专门为Linux服务器所研发的服务器管理工具。服务器安全狗linux版具有DDOS攻击检测和防御系统、流量统计、帐户监控和设置、登录监控、系统参数快速设置、系统运行状态直观展示等强大的功能...
  • USB over Network For Linux是网络工具频道下深受用户喜爱的软件,太平洋下载中心提供USB over Network For Linux官方下载。为在 IP 网络上共享 USB 接口的外围设备,提出了基于 IP 的扩展 USB 总线 iUSB 的概念,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 73,276
精华内容 29,310
关键字:

安全中心软件下载